Μια ευπάθεια στο print spooler των Windows κυκλοφορεί δημόσια, και φέρεται να επιτρέπει RCE. Σήμερα η Microsoft και οι αρχές ασφαλείας δημοσιεύσαν ορισμένες λεπτομέρειες.
Η ευπάθεια που επιτρέπει RCE έχει καταχωρηθεί σαν CVE-2021-1675 και χτυπάει το Windows Print Spooler. Είναι γνωστή σαν PrintNightmare. Την 1η Ιουλίου 2021, η Microsoft επιβεβαίωσε ότι η ευπάθεια επιτρέπει RCE (CVE-2021-1675), εξακολουθεί να μην έχει επιδιορθωθεί και ότι αξιοποιείται.
Η αμερικανική CISA εξέδωσε μια προειδοποίηση επίσης για την ευπάθεια PrintNightmare. Το Κέντρο Συντονισμού CERT (CERT/CC) ενθαρρύνει τους διαχειριστές να απενεργοποιήσουν την υπηρεσία Windows Print Spooler σε domains και συστήματα που δεν εκτυπώνουν.
Επιπλέον, οι διαχειριστές θα πρέπει να χρησιμοποιήσουν μια μέθοδο από τις οδηγίες της Microsoft που δημοσιεύθηκαν στις 11 Ιανουαρίου 2021:
“Λόγω της πιθανότητας συμβιβασμού, η υπηρεσία Print Spooler πρέπει να απενεργοποιηθεί σε ελεγκτές domain και σε συστήματα διαχείρισης της υπηρεσίας καταλόγου Active Directory. Ο προτεινόμενος τρόπος για να γίνει αυτό είναι να χρησιμοποιήσετε μια πολιτική ομάδα.”
Από την 1η Ιουλίου 2021, η Microsoft δημοσίευσε την περιγραφή της ευπάθειας για το Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527 και αναθεώρησε τις προηγούμενες αξιολογήσεις.
Η εταιρεία επιβεβαίωσε ότι γνωρίζει ότι η ευπάθεια είναι Remote Code Execution (RCE) και υπάρχει στο Windows Print Spooler.
Ένας εισβολέας που χρησιμοποιεί αυτή την ευπάθεια μπορεί να τρέξει αυθαίρετο κώδικα με προνόμια SYSTEM. Έτσι μπορεί να εγκαταστήσει προγράμματα, να προβάλει, να τροποποιήσει ή να διαγράψει δεδομένα. Για όσους γνωρίζουν, η επίθεση απαιτεί από έναν επικυρωμένο χρήστη να καλέσει το RpcAddPrinterDriverEx ().
Περισσότερες λεπτομέρειες στο PoC της ευπάθειας.
